摘要:
附:找到pdt:pde最后一个看看是否有物理页 1:)给0线性地址挂上物理页 打开windbg查看cr4 查看0的物理地址,发现没有挂物理页 利用写出代码,打印b的地址,并且把b的物理页也打印出来 将0号地址修改为跟b的相同的物理页上 打印相应地址的值 2:)逆向MnIsAddressValid 源 阅读全文
摘要:
2-9-9-12分页 实验代码 拆分12ff7c 000000 0000 0000 0000001 0010 1111 12f1111 0111 1100 f7c 然后查找 由于是8字节一个了所以乘以8而不是乘以4 在填入偏移,显示的是a,修改其值为100 修改后 在运行程序 知识点 1、其实跟10 阅读全文
摘要:
MmIsAddressValid 作用:用来判断某个线性地址是否被挂了物理页 说人话!!!! 就是说线性地址是否有效 先到windbg看看源码,静态分析一下 入口部分 1 nt!MmIsAddressValid: 2 804e2f46 8bff mov edi,edi 3 804e2f48 55 p 阅读全文